8 dicas para deixar o seu WordPress mais seguro

  1. Mantenha o WordPress atualizado
  2. Reforce as senhas
  3. Segurança através da obscuridade
  4. Evite temas gratuitos
  5. Instale o plugin de segurança Wordfence
  6. Limite as tentativas de login
  7. Security Headers
  8. Use o CloudFlare

1 – Mantenha o WordPress atualizado

Cada nova versão do WordPress contém patches e correções que abordam vulnerabilidades reais ou potenciais. Se você não mantém seu site atualizado com a última versão do WordPress, do tema e dos plugins, você poderá estar deixando uma porta aberta para invasores.

2 – Reforce as senhas

De acordo com este infográfico, cerca de 8 % dos sites WordPress são hackeados devido a senhas fracas.

Se a sua senha de administrador do WordPress é algo como “123456”, “password” e “12345678”, você precisa alterá-la para algo seguro o mais rápido possível.

http://exame.abril.com.br/tecnologia/noticias/hackers-utilizam-senhas-fracas-como-usuarios-comuns-aponta-estudo

3 – Segurança através da obscuridade

Nunca utilize admin como nome de usuário do administrador. Ao criar uma conta administrativa, evite termos que podem ser descobertos facilmente, como administrador ou webmaster.

Se você ainda usa algum desses nomes de usuário e sua senha não é forte o suficiente, então seu site está muito vulnerável a ataques mal-intencionados como o Brute Force Attack . É fortemente recomendado que você altere seu nome de usuário para algo menos óbvio.


Por padrão o WordPress exibe seu nome de usuário no URL de sua página de arquivo do autor. Por exemplo, se o seu nome de usuário é jamesbond, sua página de arquivo do autor seria algo como http://seusite.com/author/jamesbond.

Portanto, pelas mesmas razões explicadas acima para o nome de usuário “admin”, é uma boa idéia esconder essa informação alterando a entrada user_nicename em seu banco de dados.


Não use o prefixo de tabela padrão wp_. Muitos ataques de injeção de SQL direcionados ao WordPress supõem que o prefixo da tabela é wp_. Alterar este prefixo pode evitar alguns ataques de injeção SQL.

Atualização (28-12-2016): Segundo este artigo publicado no blog do plugin Wordfence, alterar o prefixo da tabela é inútil.

4 – Evite temas gratuitos

A principal razão para isso é que temas livres pode muitas vezes conter codificação indesejada, como base64 por exemplo, que pode ser usada para inserir links de spam em seu site secretamente, além de outros códigos maliciosos que podem causar todos os tipos de problemas, como mostrado neste experimento, onde foram encontrados código base64 em 8 de 10 sites com temas gratuitos instalados.

Se você realmente precisa usar um tema gratuito, use somente aqueles desenvolvidos por empresas confiáveis, ou os disponíveis no repositório oficialdo WordPress.org .

A mesma lógica aplica-se aos plugins. Só use plugins que estão listados no WordPress.org, ou aqueles desenvolvidos por um desenvolvedor confiável.

5 – Instale o plugin de segurança Wordfence

Wordfence começa verificando se o site já está infectado. Ele faz uma varredura profunda (server-side) de seu código-fonte comparando os arquivos do núcleo, temas e plugins com o repositório oficial do WordPress. O plugin também funciona como firewall impedindo uma série de ações maliciosas.

6 – Limite as tentativas de login

No caso de um hacker ou um bot tentar um ataque de força bruta para quebrar a sua senha (muito mais comum do que você imagina), pode ser útil limitar o número de tentativas de login a partir de um único endereço IP.

Limitar as tentativas de login faz exatamente isso, permitindo especificar quantas tentativas será permitida e quanto tempo um IP será bloqueado para depois das tentativas de login.

Existem maneiras de contornar isso, já que alguns crackers utilizam um grande número de endereços IP diferentes, mas ainda assim é válido adicionar essa barreira adicional.

Controle as Tentativas de Login em Home » Wordfence » Options » Login Security Options.

7 – Security Headers

A fim de melhorar a segurança do seu site é recomendável que você habilite alguns cabeçalhos no arquivo .htaccess de sua instalação.

Primeiramente verifique se os procedimentos propostos abaixo já estão habilitados. Teste o seu site e procure por:

X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff

Se a linhas não forem encontradas, adicione-as da seguinte forma:

# Sucuri Recommendations
<IfModule mod_headers.c>
 Header set X-XSS-Protection "1; mode=block"
 Header always append X-Frame-Options SAMEORIGIN
 Header set X-Content-Type-Options nosniff
</IfModule>
# END Sucuri Recommendations

Explicação

HTTP significa “Hypertext Transfer Protocol”, toda World Wide Web utiliza esse protocolo que foi estabelecido no início de 1990. Quase tudo que você vê no seu browser é transmitido ao computador via HTTP. Por exemplo, quando você abriu esta página, seu navegador provavelmente enviou mais de 40 solicitações HTTP e recebeu respostas HTTP para cada um.

Cabeçalhos HTTP são a parte principal dessas solicitações e respostas HTTP pois eles carregam informações sobre o navegador do cliente, a página solicitada, o servidor e muito mais.

Security Headers – X-XSS-Protection

A fim de melhorar a segurança do seu site contra alguns tipos de ataques XSS ( cross-site scripting ) é recomendável que você habilite o seguinte cabeçalho:

<IfModule mod_headers.c> 
 Header set X-XSS-Protection "1; mode=block" 
</IfModule>

https://kb.sucuri.net/warnings/hardening/headers-x-xss-protection

Security Headers – X-Frame-Options

A fim de melhorar a segurança do seu site contra o clickjacking é recomendável que você habilite o seguinte cabeçalho:

<IfModule mod_headers.c>
 Header always append X-Frame-Options SAMEORIGIN
</IfModule>

https://kb.sucuri.net/warnings/hardening/headers-x-frame-clickjacking

Security Headers – X-Content-Type: nosniff

A fim de melhorar a segurança do seu site e seus usuários contra alguns tipos de drive-by-downloads é recomendável que você você habilite o seguinte cabeçalho:

<IfModule mod_headers.c>
 Header set X-Content-Type-Options nosniff
</IfModule>

https://kb.sucuri.net/warnings/hardening/headers-x-content-type

8 – Use o CloudFlare

A tecnologia CloudFlare detecta automaticamente novos ataques que surgem contra qualquer website em sua rede. Uma vez que o CloudFlare identifica que há um novo ataque, ele começa a bloquear o ataque no site em particular e em toda a comunidade.

Crie uma conta e adicione seus sites gratuitamente. Na opção Firewall » Security Level selecione High.

Leve-me ao CloudFlare



Deixe uma resposta